19/10/2021 23:29 Disciplina Portal

Redes Locais e Comutação

Aula 10 - Comutação Avançada

INTRODUÇÃO

Em nossa aula aprofundaremos as técnicas de comutação, realizando segurança de portas através do port-security.
Faremos configurações definindo quantidade de MAC por porta, MAC específico-para determinada porta e como o
switch aprende somente um MAC por porta, tomando a decisão em caso de violação.

Aprenderemos a configurar a rede camada 2 para utilização de IDS, IPDS e analisador de pacotes através do
espelhamento do tráfego de portas, local e remotamente.

Compreenderemos também como funciona a redundância de roteadores com o protocolo HSRP Hot Standby Router
Protocol, definindo prioridade e preempção e discutiremos os estados do HSRP, seus temporizadores e os comandos
para executar essas tarefas. Além de melhorar a redundância e a largura de banda através de EtherChannel com os
protocolos PAgP e LACP.

https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 1/21
19/10/2021 23:29 Disciplina Portal

OBJETIVOS

Explicar a configuração de segurança de portas de switch com Port-security e o espelhamento de portas para gerência
ou segurança da rede com IDS ou IPS etc., através de Switch Port Analyzer local e remoto (SPAN e RSPAN);

Compreender e configurar Hot Standby Router Protocol HSRP e EtherChannel com os protocolos Port Aggregation
Protocol (PAgP) e Link Aggregation control Protocol (LACP).

https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 2/21
19/10/2021 23:29 Disciplina Portal

PORT-SECURITY

A configuração do port-security é bastante fácil e é baseada em

quantidade de nós conectados à mesma porta, que também
pode definir o endereço mac address que vai utilizar a interface e
até mesmo definir que o 1º mac será registrado (stick).
Ressaltando que não existe um controlador de mac address por
porta centralizado.

Essa técnica evita que, em regiões onde existe o acesso de

público externo, como, por exemplo, uma sala de reuniões, esse
público não possa, por default, conectar qualquer equipamento
não autorizado pelo TI da empresa.

Ao restringir a porta para aceitar apenas o endereço MAC do

dispositivo autorizado, você impede o acesso não autorizado se
alguém ligar outro dispositivo à porta.

COMANDOS DE CONFIGURAÇÃO PORT-SECURITY

https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 3/21
19/10/2021 23:29 Disciplina Portal

AGORA VAMOS ENTENDER MELHOR OS 3 MODOS:

https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 4/21
19/10/2021 23:29 Disciplina Portal

PROTECT
descarta o tráfego, mas mantém a porta UP e NÃO ENVIA mensagem SNMP;

RESTRICT
descarta o tráfego e ENVIA mensagem SNMP;

SHUTDOWN
descarta o tráfego e ENVIA mensagem SNMP e desabilita a porta (default).

Exemplo
Antes de continuar seus estudos, veja um exemplo de configuração (galeria/aula10/docs/slide06.pdf).

SPAN E RSPAN
Comparando comutação camada 1 e camada 2

Vejamos a diferença entre equipamento de camada 1 e equipamentos de camada 2:

O equipamento de camada 1 HUB sempre Já o equipamento camada 2 realiza uma

realiza um flooding, enviando sua unidade de microsegmentação entre portas de destino e origem,
dados (bit) para todas as portas, exceto para desde que sua tabela MAC Address Table esteja
qual recebeu o bit. atualizada.

Monitorar e solucionar problemas de uma rede com um

analisador de pacotes, é bastante simples, mas quando os
nós estão conectados através equipamentos camada 1,
com equipamentos camada 2 realizando a
microsegmentação ou store and forward entre portas
origem e destino, fica bem mais difícil.

Sabe como monitorar o tráfego em dispositivos camada 2?

Vejamos:

https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 5/21
19/10/2021 23:29 Disciplina Portal

Com equipamentos camada 2, as únicas portas que recebem o tráfego unicast são as de origem e destino (tabela
totalmente construída).

Naturalmente, os únicos tráfegos que passariam por todas as portas, inclusive a do sniffer, seriam:
Tráfego de broadcast;
Tráfego multicast com CGMP ou Internet Group Management Protocol (IGMP) snooping disable;
Tráfego unicast desconhecido pelo switch.

A solução é estabelecer uma sessão de monitoramento de portas ou redes (VLANs), também conhecida como
espelhamento de portas (glossário), conforme topologia a seguir:

Na CISCO, possuímos 2 tipos de monitoramento: o local e o remoto.

Vamos ver cada um deles com mais detalhes.

LOCAL SPAN
O recurso SPAN (glossário) em switches CISCO é um tipo de espelhamento de porta que envia cópias do quadro ou
frame, que entram em uma porta e saem por outra, no mesmo switch.

Com finalidades como:

Analisador de pacotes

https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 6/21
19/10/2021 23:29 Disciplina Portal

para verificar e analisar o conteúdo do tráfego de determinadas portas;

Sistema de Detecção de Intrusão (IDS) ou um Sistema de Prevenção de Intrusão (IPS)

para a segurança da rede, quando o dispositivo não está na arquitetura em linha.

A seguir, veja alguns termos comumente utilizados nas diversas tecnologias de espelhamento ou monitoramento de
portas:

REMOTE SPAN
Até aqui, abordamos o monitoramento de portas, origem e destino no mesmo switch.

Mas tráfegos em diferentes switches também podem ser

monitorados?

A resposta é sim. Através do RSPAN (glossário) – Remote SPAN.

Utilizado principalmente quando o analisador de pacotes fica conectado a um switch diferente do que será monitorado.

A seguir, veja alguns termos comumente utilizados nas diversas tecnologias de espelhamento remoto:

https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 7/21
19/10/2021 23:29 Disciplina Portal

O Remote SPAN utiliza duas sessões: uma de origem e outra de destino para copiar o tráfego ou o tráfego de uma
VLAN. SPAN remoto utiliza duas sessões: uma sessão como origem e uma sessão para copiar ou receber o tráfego de
uma VLAN.

Observe a figura a seguir e veja um exemplo de RSPAN, onde o link de trunk é usado para transportar a VLAN remote-
span em toda a rede.

CONFIGURAÇÃO DO SPAN LOCAL

https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 8/21
19/10/2021 23:29 Disciplina Portal

CONFIGURANDO RSPAN

Inicialmente, devemos criar uma VLAN para transportar o monitoramento da origem até o destino.

https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 9/21
19/10/2021 23:29 Disciplina Portal

Observação:
A mesma RSPAN VLAN é utilizada por todos o switches para uma mesma sessão de RSPAN;
Todos os switches participantes necessitam suportar RSPAN;
Não pode ser a VLAN 1 (ou a nativa).

O primeiro passo foi dado. Agora, vamos configurar a sessão origem e destino.

VISÃO DA TECNOLOGIA DE SPAN PARA RESOLUÇÃO DE PROBLEMAS

DE SEGURANÇA DA REDE

https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 10/21
19/10/2021 23:29 Disciplina Portal

O SPAN permite aos administradores entregar cópia de determinados

tráfegos para dispositivos especializados, como, por exemplo,
analisadores de pacotes e sistemas de detecção e proteção contra
intrusões (IDS e/ou IPS).

Com a análise desse tráfego, podemos descobrir e solucionar

problemas, bem como através das ferramentas IDS e/ou IPS avaliar se
existem algumas assinaturas de ataques no tráfego analisado e tomar
as providências ou disparando alarmes ou bloqueando tráfego indevido
ou suspeito.

Nas redes comutadas (camada 2), a técnica de SPAN é um

conhecimento recomendado a todo administrador de redes.

HSRP
Introdução ao HSRP

Hot Standby Router Protocol (HSRP) é um protocolo proprietário da CISCO, para a implementação de redundância de
gateway sem a necessidade de alterar as configurações dos dispositivos finais.

Os roteadores configurados, como HSRP, formam um conjunto que responde por um default gateway virtual (10.1.1.1),
com as seguintes designações e funções: um ativo (glossário) (active) e outro em espera (glossário) (standby).

Comentário
Relembrando que o gateway da rede continua sendo o router virtual 10.1.1.1, não necessitando de qualquer alteração na
configuração dos nós da rede.
Topologia HSRP

Os roteadores 10.1.1.2 e o roteador 10.1.1.3 representam um único default gateway (glossário) com o endereço
10.1.1.1 para os dispositivos finais (hosts da rede).

Os PCs da rede configuram o default gateway como 10.1.1.1, endereço este atribuído pelo administrador da rede. Já o
MAC address é automaticamente criado independente do roteador físico.

Um dos roteadores envia os dados (active) e o outro fica em espera (standby) como um backup, que entra em
funcionamento se ocorrer falha do roteador active ou do link.

https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 11/21
19/10/2021 23:29 Disciplina Portal

Somente o roteador ativo (active) irá receber e transmitir o tráfego enviado para o gateway padrão.

Se o roteador ativo falhar ou se a comunicação com o roteador ativo falhar, o roteador de espera irá assumir o papel do
roteador ativo.

A configuração de default gateway dos dispositivos finais não se altera, somente o HSRP altera quem é o active e o
standby.

Prioridade HSRP e preempção

Você sabe como se define quem será o roteador ativo e o

roteador em espera?

É definido da mesma forma que em outros protocolos, realizando uma eleição.

O protocolo ou regra para essa eleição é a seguinte:

O roteador com o maior endereço IP numericamente será o

ativo (active).

Haja vista a discussão no protocolo Spanning Tree Protocol, não podemos deixar o acaso realizar as escolhas. Por
esse motivo, no STP, utilizamos o valor do priority e no HSRP:

HSRP Priority

Por padrão, a prioridade do HSRP é 100. Logo, se as prioridades forem iguais, continua
ganhando a eleição o roteador que possuir o maior valor numérico de endereço IP. Porém, o
roteador de mais alta prioridade será o ativo.

Para configurar a prioridade, utiliza-se o comando da interface standby priority, que pode
variar entre 0 e 255.

HSRP preempção

Quando, por falha do roteador HSRP ativo, o HSRP standby assume a função de ativo, temos
as seguintes questões:

Quando o roteador de maior prioridade reentrar em operação o que acontece?

Normalmente, o roteador que estiver como ativo, mesmo com prioridade HSRP menor,
continuará a ser o roteador ativo, não realizando uma nova reeleição.

Como forçar uma nova eleição HSRP?

O processo de eleição deve ser ativado com o comando de interface standby preempt. Que é
a capacidade de um roteador HSRP iniciar um processo de reeleição.

https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 12/21
19/10/2021 23:29 Disciplina Portal

Com a preempção ativada, o roteador com maior prioridade HSRP assumirá o papel de
roteador ativo (active).

Observação:

A preempção só altera o roteador ativo se e somente se for o de maior prioridade HSRP;

Se a prioridade HSRP for igual, não vai alterar o ativo, mesmo que o novo possua endereço
IP numericamente maior do que o ativo.

Observação:

Com a preempção desativada, o roteador que iniciar primeiro, e se não existirem roteadores
on-line, se tornará o roteador ativo

Temporizadores HSRP

Agora vamos discutir os estados HSRP.

Quando há a primeira configuração HSRP ou já estiver configurado, o roteador envia mensagens Hello HSRP para
determinar o estado que irá assumir no grupo HSRP.

O estados estão definidos na tabela a seguir:

https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 13/21
19/10/2021 23:29 Disciplina Portal

Temporizadores HSRP

A cada 3 segundos, por default, os roteadores HSRP ativo e espera (standby)

enviam mensagens Hello.

Em 10 segundos, se o roteador HSRP de standby não receber uma mensagem de

Hello, entrará no modo ativo.

Esses temporizadores podem ser alterados. Mas, objetivando não aumentar o uso
de COU e mudança de estado desnecessárias, NÃO defina o Hello timer menor do
que 1 segundo ou o hold timer abaixo de 4 segundos.

Comandos de configuração do HSRP

Comandos de configuração do HSRP

https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 14/21
19/10/2021 23:29 Disciplina Portal

Configuração de ambos roteadores HSRP

ETHERCHANNEL
Muitas vezes, é necessário ao administrador da rede local aumentar a largura de banda entre os switches. Uma
possibilidade é, por exemplo, trocar a interface FastEthernet que interliga os switches por interfaces GigabitEthernet.

E se for necessário 2 gigabits e não somente 1 gigabit?

Solução: EtherChannel

https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 15/21
19/10/2021 23:29 Disciplina Portal

Consiste em links Ethernet, FastEthernet ou Ethernet Gigabit rápidos e individuais serem agrupados em uma única
ligação lógica, conforme figura a seguir:

Apesar dos fabricantes não seguirem um padrão, todos possuem uma função do EtherChannel, mesmo que com nome
diferente:
Etherchannel;
Port-channel;
Link-Aggregation;
Bridge-Aggregation.

No fabricante CISCO, que detém a maior fatia desse mercado, o EtherChannel pode utilizar um desses modos para
estabelecer a agregação de portas:

PAgP - Port Aggregation Protocol

LACP - Link Aggregation Control On ou Manual

Protocol

Protocolo disponível em Sem a certificação do meio por

equipamentos CISCO(proprietário). Protocolo padrão IEEE 802.3ad, protocolos auxiliares.
disponível em praticamente todos
switches gerenciáveis.

Observação:

As duas pontas do EtherChannel tem que implementar o mesmo modo (protocolo).

Observação:

https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 16/21
19/10/2021 23:29 Disciplina Portal

Quando criamos um EtherChannel, uma interface Port-Channel é “setada”, exemplo PO1.

INTERFACE PORT-CHANNEL
O EtherChannel pode ser criado de 2 formas:

Utilizaremos a 1ª forma, selecionando a interface ou range de interfaces:

Observe a visão geral dos modos utilizados no EtherChannel

Quando on mouse over:

https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 17/21
19/10/2021 23:29 Disciplina Portal

VERIFICAÇÃO DO ETHERCHANNEL

ATIVIDADES PROPOSTAS
1- Aprendemos a técnica de redundância de roteadores com o protocolo HSRP, que tem como desvantagem um dos
links ficar em standby (espera). 
Nos dias atuais é extremamente salutar que os recursos produzam redundância e
balanceamento de carga.

Pesquise e faça uma microaula de qual seria esse protocolo e como implementá-lo.

Resposta Correta

2 - Utilizar, em uma rede comutada (camada 2), um analisador de protocolos como o wireshark, não é uma tarefa muito
fácil, principalmente se não estiver no mesmo switch que a porta ou portas a terem o tráfego analisado. Qual dos
protocolos abaixo realiza essa tarefa?

A) PAgP.
B) HSRP.
C) SPAN.
D) RSPAN.
E) ICMP.

https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 18/21
19/10/2021 23:29 Disciplina Portal

Justificativa

3 - Para aumentar a largura de banda na interligação dos switches, utiliza-se a técnica conhecida na CISCO como
EtherChannel. Qual dos conjuntos abaixo, PROTOCOLO – MODO, não é possível de ser implementado?

A) PAgP - desirable.
B) PAgP - auto.
C) LACP - ativo.
D) LACP - passivo.
E) LACP - auto.

Justificativa

4 - O protocolo HSRP, Hot Standby Router Protocol, é um protocolo para redundância de roteadores da rede. Quando o
router active falha, o standby assume a função de active e passa a encaminhar os datagramas.

Quanto à operação desse protocolo, qual a afirmativa CORRETA?

A) O priority HSRP define se o roteador standby força ou não a reeleição.

B) O roteador standby com maior prioridade sempre realiza uma reeleição.
C) Para não disparar uma reeleição, basta executar o comando standby preempt.
D) O roteador com maior ou menor prioridade HSRP assume a função de active se for standby preempt.
E) A preempção só altera o roteador ativo se e somente se for o de maior prioridade HSRP.

Justificativa

https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 19/21
19/10/2021 23:29 Disciplina Portal

Glossário
ESPELHAMENTO DE PORTAS

É a cópia dos frames para a porta de destino da sessão de monitoramento.

SPAN

Switched Porto Analyzer

RSPAN

Remote Switched Port Analyzer

ATIVO

O roteador ativo assume a função de encaminhar os datagramas IP. Resumindo: será o gateway da rede, utilizando os dados do
roteador virtual.

ESPERA

O roteador de espera somente assumirá o papel de gateway se o roteador ativo falhar.

https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 20/21
19/10/2021 23:29 Disciplina Portal

DEFAULT GATEAWAY

Na realidade, o endereço do default gateway é um endereço virtual, bem como seu MAC, que também é virtual e compartilhado
por ambos roteadores HSRP.

https://estudante.estacio.br/disciplinas/estacio_5489355/temas/5/conteudos/1 21/21